Top 5 thiết lập bảo mật trong Group Policy của Windows Server 2008

Làm thế nào để giảm bớt bề mặt tấn công trên các máy tính desltop bằng cách sử dụng 5 thiết lập bảo mật trong Group Policy.

Với trên 5000 thiết lập trong Group Policy mới của Windows Server 2008, có thể bạn sẽ bị ngập giữa việc chọn xem thiết lập nào quan trọng nhất đối với bản thân và mạng của mình. Việc thi hành các thiết lập bảo mật cho desktop để tăng bảo mật một cách toàn diện chính là bằng cách giảm bề mặt tấn công sẵn có. Trong các thiết lập bảo mật thì có một số chỉ hỗ trợ cho Windows Vista, còn một số khác có thể tương thích với Windows XP SP2.

Kiểm soát thành viên nhóm Administrator nội bộ

Một trong những thiết lập không an toàn nhất có thể được bạn cho người dùng là truy cập quản trị nội bộ. Bằng cách add thêm một tài khoản người dùng vào nhóm Administrators nội bộ, người dùng sẽ được ban cho hầu như các kiểm soát tối thượng trên desktop của họ. Họ có thể thực hiện hầu hết các hành động, thậm chí nếu mạng được cấu hình để từ chối tuy cập này. Các hành động mà người dùng có thể thực hiện, nhờ có quyền quản trị nội bộ, gồm có:

• Remove máy tính của họ ra khỏi miền
• Thay đổi thiết lập Registry
• Thay đổi các điều khoản trên thư mục và file
• Thay đổi thiết lập hệ thống, như các thiết lập trong file nằm trong thư mục hệ thống.
• Cài đặt ứng dụng
• Hủy bỏ cài đặt các ứng dụng, các bản vá bảo mật và các gói dịch vụ.
• Truy cập vào Website được tường lửa cho phép
• Download và cài đặt ActiveX controls, các ứng dụng Web hoặc các ứng dụng mã độc khác được download từ Internet.

Mặc dù yêu cầu người dùng cần phải có quyền quản trị viên để cho phép các ứng dụng nào đó hoạt động, tuy nhiên kiểu truy cập này thường rất nguy hiểm và dễ đặt desktop và toàn bộ mạng vào các tấn công bảo mật.

Với Group Policy của Windows Server 2008, người dùng hiện có thể được remove từ nhóm Administrators nội bộ bằng cách chỉ dùng một chính sách đơn giản. Thiết lập này điều khiển Windows XP SP2 và các hệ điều hành cao hơn. Chúng là các thiết lập Preferences mới của Group Policy. Để truy cập vào thiết lập này, bạn cần mở Group Policy Object và vào phần:

User Configuration\Preferences\Control Panel

Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New - Local Group. Khi đó hộp thoại dưới đây sẽ xuất hiện, xem trong hình 1.

Hình 1: Group Policy Preference cho Local Group

Để cấu hình chính sách, bạn hãy đánh Administrators vào hộp văn bản Group, sau đó tích vào hộp kiểm “Remove the current User”. Trong lúc background kế tiếp của Group Policy refresh tất cả các tài khoản người dùng nằm trong phạm vi quản lý của GPO, nơi thiết lập này được cấu hình, thì các tài khoản sẽ được remove ra khỏi nhóm Administrators trên máy tính họ đăng nhập.

Thiết lập lại mật khẩu Administrator nội bộ

Kết hợp với thiết lập Group Policy đầu tiên, mật khẩu Administrator nội bộ cũng cần phải thiết lập lại. Điều này là do người dùng có các đặc quyền quản trị viên trước khi remove họ ra khỏi nhóm quản trị nội bộ.

Sau khi tài khoản người dùng đã được remove ra khỏi nhóm quản trị nội bộ, mật khẩu tài khoản nhóm này cần phải được thiết lập lại. Nếu thiết lập này có thể được thực hiện đồng thời với việc remove tài khoản người dùng thì họ sẽ không thể biết hoặc thay đổi mật khẩu Administrator nội bộ mới.

Thiết lập này kiểm soát Windows XP SP2 và các hệ điều hành mới hơn. Nó là thiết lập Group Policy Preferences mới. Để truy cập vào thiết lập này, bạn mở Group Policy Object và vào:

Computer Configuration\Preferences\Control Panel

Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New - Local User. Hộp thoại dưới đây sẽ xuất hiện.

Hình 2: Group Policy Preference cho Local User

Để cấu hình chính sách, đánh Administrator vào hộp văn bản User name, sau đó đánh mật khẩu mới vào hộp văn bản Password, xác nhận mật khẩu trong hộp Confirm Password. Trong khi background của Group Policy mới refresh tất cả các tài khoản máy tính nằm trong phạm vi quản lý của GPO thì mật khẩu Administrator nội bộ sẽ được thiết lập lại.

Windows Firewall với độ bảo mật nâng cao

Trước đây, người dùng và các quản trị viên đều mơ màng về Windows Firewall, do những khả năng hạn chế về các sản phẩm của họ. Giờ đây, Windows Firewall có một số thiết lập bảo mật tiên tiến cho phép họ có những hiểu biết rõ ràng hơn về tường lửa.

Các tính năng bảo mật tiên tiến mới của Windows Firewall không chỉ kết hợp chặt chẽ trong việc lọc inbound và outbound mà còn gồm có cả IPSec.

Các thiết lập này chỉ có thể kiểm soát với Windows Vista và nằm trong vùng bảo mật của Group Policy. Để truy cập vào thiết lập này, bạn hãy mở Group Policy Object và vào:

Khi mở chính sách, bạn sẽ thấy ba nút sau:

• Inbound rules
• Outbound rules
• Connection Security Rules

Nếu kích chuột phải vào các tùy chọn này, bạn có thể chọn tùy chọn New Rule, xem inbound rule được thể hiện trong hình 3.

Hình 3: Một trong những màn hình trong Inbound rule wizard.

UAC

User Account Control (UAC) cung cấp cho bạn một tùy chọn giúp bảo vệ máy tính nơi người dùng và quản trị viên đăng nhập. UAC hiện là một ý tưởng tuyệt vời cho tất cả các quản trị viên và có thể là một giải pháp tốt cho người dùng chuẩn. Do UAC bắt buộc tất cả người dùng phải đều là người dùng chuẩn cho tất cả các nhiệm vụ, nó trợ giúp bảo vệ chống lại bất cứ ứng dụng hoặc virus nào muốn ghi vào các vùng được bảo vệ trên máy tính bằng cách nhắc nhở người dùng bằng một hộp thoại mỗi khi vùng được bảo vệ của máy tính bị truy cập. Có thể là truy cập một ứng dụng, cài đặt một ứng dụng, thay đổi registry, ghi vào file hệ thống,…

Đây quả là điều tuyệt vời đối với tất cả các quản trị viên, vì họ có thể sử dụng một tài khoản người dùng nào đó cho các nhiệm vụ hàng ngày, cả cho CNTT và sử dụng cá nhân. Với những người dùng chuẩn, chỉ có cách UAC sẽ hoạt động tốt trong trường hợp tất cả các ứng dụng chạy trên máy trạm có thể chạy mà không yêu cầu đến các chứng chỉ quản trị viên. Trong tình huống này, người dùng có thể thực hiện tất cả các hoạt động và chạy tất cả các ứng dụng như một người dùng chuẩn. Sau đó nếu một nhiệm vụ nào đó cần phải được thực hiện với quyền truy cập cao hơn (mức quản trị viên) thì họ có thể cần đến sự trợ giúp của đội hỗ trợ hoặc quản trị viên hệ thống.

Các thiết lập kiểm soát UAC có thể được tìm thấy tại Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options, xem trong hình 4 bên dưới.

Hình 4: Các tùy chọn Group Policy để kiểm soát UAC

Chính sách mật khẩu

Mặc dù các mật khẩu không thật sự hấp dẫn như một thiết lập bảo mật, nhưng khả năng kiểm soát các mật khẩu bằng Group Policy cũng không nên bỏ qua trong danh sách top 5 này. Windows Server 2008 vẫn sử dụng Group Policy để xác định các thiết lập chính sách tài khoản ban đầu, thứ không thay đổi từ Windows 2000. Các thiết lập được cấu hình ban đầu trong Default Domain Policy, nhưng chúng có thể được tạo trong bất kỳ GPO nào được liên kết với miền. Có một thứ bạn cần nên lưu ý là GPO gồm có các thiết lập chính sách tài khoản phải có mức ưu tiên cao nhất so với tất cả các GPO liên kết với miền.

Các thiết lập mà bạn có thể cấu hình được thể hiện trong hình 5 và các thiết lập thể hiện trong bảng 1.

Hình 5: Các thiết lập chính sách mật khẩu trong Default Domain Policy

Đây là một số hướng dẫn cho các thiết lập chính sách này:

Bảng 1

Kết luận

Các tùy chọn của Windows Server 2008 Group Policy quả thực rất ấn tượng. Với hơn 5000 thiết lập, bạn sẽ hoàn toàn thoải mái trong việc kiểm soát các máy tính trong môi trường của mình. 5000+ các thiết lập để bảo đảm sự bảo mật cho tất cả các môi trường và người dùng là rất cần thiết. Nếu bạn lợi dụng được các thiết lập được giới thiệu trong bài này thì bạn sẽ đảm bảo cho môi trường desktop của mình trở nên an toàn hơn rất nhiều.

Top 5 thiết lập bảo mật trong Group Policy của Windows Server 2008 Tags
Top | 5 | thiết | lập | bảo | mật | trong | Group | Policy của Windows | Server | 2008

Những bài viết tương tự Top 5 thiết lập bảo mật trong Group Policy của Windows Server 2008:
Các thiết lập bảo mật đặc biệt của Group Policy | Cấu hình thiết lập mật khẩu trong Windows Server 2008 - Phần 1 | Cấu hình thiết lập mật khẩu trong Windows Server 2008 - Phần 2 | Bảo mật Terminal Services của Windows Server 2008 | Microsoft thêm tính năng bảo mật của Windows Server 2008 | Bảo mật Endpoint bằng Group Policy | Tổng quan về Firewall của Windows Server 2008 với tính năng bảo mật nâng cao | Sử dụng Group Policy để tránh ConFlicker trong Windows | Bảo mật FTP Server với Windows Server 2008 | 10 lệnh Netsh của Windows Server 2008 nên biết